Professor Heron Duarte Especialista em Inteligência Segurança da Informação [email protected] Segurança da Informação • Segurança da Informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio. Podemos ainda definir Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou a sua indisponibilidade. O ciclo de vida da informação Geralmente é composto por 4 etapas Manuseio: Local onde se iniciou o ciclo e onde a informação é manipulada. Armazenamento : Momento em que a informação é armazenada, (pode ser em papel, em mídia CD etc.). Transporte: Momento do envio ou transporte (pode ser correio eletrônico, fax, sinais). Descarte: Momento em que a informação é eliminada, apagada (destruída de forma definitiva). O método PDCA – (Plan, Do, Check e Action) Plan: o profissional responsável deverá definir o que quer. Deverá planejar o que será feito e estabelecer metas. Deverá definir os métodos que permitirão atingir as metas propostas. Do: o profissional responsável deverá tomar iniciativas como: educar e treinar as pessoas envolvidas, implementar e executar o planejado conforme as metas e métodos definidos. Check: o profissional responsável deverá observar os resultados obtidos e verificar continuamente os trabalhos afim de ver se estes estão sendo executados da forma definida. Action: o profissional responsável deverá fazer correções de rotas e tomar ações corretivas ou melhorias, caso tenham sido constatadas na fase anterior a necessidade de corrigir ou melhorar processos. Segurança da Informação ATIVO: Ativo: qualquer elemento que tenha valor para uma organização Valor do Ativo: quantificação de perda de determinado ativo quando esse tem sua confidencialidade, integridade ou disponibilidade afetadas. Ativos Categoria de ativos Exemplo Tangíveis Informações impressas ou digitais Impressoras Móveis de escritório Intangíveis Imagem de uma empresa Confiabilidade de um órgão federal Marca de um produto Segurança da Informação ATIVO: É tudo aquilo que possui valor para uma organização. Exemplo de classificação dos ativos: Categoria de ativos Exemplo Lógicos Dados armazenados em um servidor Físicos Estação de trabalho, sistema de ar-condicionado Humanos Empregados, prestadores de serviços O que é a Segurança da informação? Primeiras idéias: Proteção das informações Proteção dos dados Proteção das máquinas Proteção dos sistemas Segurança da Informação Mais ainda: • Segurança da Informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Segurança da Informação Segurança é manter os ATIVOS do ambiente sistêmico, garantido sua estabilidade conforme sua: • Confidencialidade, • Integridade, • Disponibilidade. Agindo em seu manuseio, armazenamento, transporte e descarte. Segurança da Informação Os 3 princípios básicos: Confidencialidade Toda informação deve ser protegida conta acesso de pessoas não explicitamente autorizadas. Integridade Toda informação deve ser protegida afim de se evitar que dados sejam apagados ou alterados de alguma forma não autorizada. Disponibilidade Toda informação deve ser protegida afim de que os serviços de informática de tal forma que não sejam degradados ou tornados indisponíveis. Segurança da Informação Os Aspectos da Segurança: Autenticação Processo de identificação e reconhecimento formal da identidade dos elementos que entram em comunicação ou fazem parte de uma transação eletrônica. Legalidade característica das informações que possuem valor legal dentro de um processo de comunicação, estando de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes. CIDAL C - Confidencialidade I - Integridade D - Disponibilidade A - Autenticação L - Legalidade Outros conceitos de CIDAL Confidencialidade: a informação estará acessível somente para pessoas autorizadas. Integridade: as informações e os métodos de processamento somente podem ser alterados através de ações planejadas e autorizadas. Disponibilidade: os usuários autorizados devem ter acesso à informação e aos ativos correspondentes, sempre que necessário para o desenvolvimento de suas atividades. Autenticidade: para evitar o não-repúdio, ou não recusa, deverá ser garantido a autenticidade da fonte. Essa é a garantia que o emissor de uma mensagem é quem realmente diz ser. Legalidade: é a situação de conformidade com as leis atualmente vigentes no pais. Segurança da Informação Vulnerabilidades Ameaças Elementos de segurança Identificação e Autenticação: distinguir, determinar e validar a identidade do usuário/entidade (se é quem diz ser) Controle de acesso: limitar/controlar nível de autorizações de usuários/entidades a uma rede, sistema ou informação Não-repúdio: impedir que seja negada a autoria ou ocorrência de um envio ou recepção de informação Elementos de segurança Integridade: impedir informação/transmissão de ser alterada/ danificada de forma não-autorizada, imprevista ou acidental Confidencialidade: proteção da informação contra descoberta ou interceptação não autorizada; privacidade Disponibilidade: confiabilidade de redes, sistemas e equipamentos sobre evitar ou se recuperar de interrupções Princípio da integridade da informação Permite garantir que a informação não tenha sido alterada em seu conteúdo e, portanto, é íntegra Uma informação íntegra é uma informação que não foi alterada de forma indevida ou não autorizada Princípio da confidencialidade da informação Garantir que apenas a pessoa correta tenha acesso à informação que queremos distribuir Deverá ser mantido para que as pessoas nãoautorizadas não tenham acesso a ela Ter a segurança de que o que foi dito a alguém ou escrito em algum lugar só será escutado ou lido por quem tiver autorização para tal Ocasiona perda de segredo Princípio da disponibilidade da informação Garantir que as informações essenciais ao negócio da empresa estejam disponíveis o maior tempo possível Conhecer seus usuários para que se possa organizar e definir as formas de disponibilização, garantindo, conforme cada caso, seu acesso e uso quando necessário A disponibilidade da informação deve ser considerada com base no valor que a informação tem e no impacto resultante de sua falta de disponibilidade Princípio da disponibilidade da informação Principais ações para garantir a disponibilidade da informação: A configuração segura de um ambiente em que todos os elementos que fazem parte da cadeia de comunicação Cópias de segurança – backup Definir estratégias para situações de contingência Estabelecer rotas alternativas para o trânsito da informação, para garantir seu acesso e a continuidade dos negócios Políticas de Segurança Conjunto de normas e diretrizes destinadas para proteção dos bens da organização Definir a forma da utilização dos seus recursos através de procedimentos para prevenir e atender incidentes de segurança As ameaças são agentes capazes de explorar as falhas de segurança, que denominamos Vulnerabilidades (pontos fracos), e, como conseqüência, provocar perdas ou danos aos ativos de uma empresa, afetando os seus negócios Política de segurança Item 5 da ISO 17799:2005 É um conjunto de leis, regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos. É um documento que formaliza e detalha todo o conceito informal ou formal sobre segurança, podendo este ser físico ou lógico e que deverá ser aplicado na empresa. Permite o estabelecimento de limites (direitos e deveres) dos usuários ou departamentos ao utilizarem os recursos da empresa. Os 3 blocos e as camadas de atuação da Política de Segurança Diretrizes, Normas e Procedimentos, sendo destinados respectivamente às camadas estratégica, tática e operacional: Camada Estratégica: define o rumo a ser seguido. Camada Tática: define a padronização para melhor controlar e fazer com que todos os pontos da empresa tenham o mesmo nível de segurança. Camada Operacional: detalha se os procedimentos estão formalmente descritos. Um procedimento deverá possuir apenas um método de execução. Filosofia dos Planos Fechado: tudo aquilo que não é permitido é explicitamente proibido. Aberto: tudo aquilo que não é proibido explicitamente é permitido. Os 4 P’s dos planos de Segurança Existem diversas filosofias para planos de segurança: Eis os principais tipos: Paranóico: tudo é proibido, mesmo aquilo que deveria ser permitido. Proibitivo: tudo aquilo que não é permitido é explicitamente proibido. Permissivo: oposto ao proibitivo. tudo aquilo que não é proibido é explicitamente permitido. Promíscuo: tudo é permitido, incluindo aquilo que deveria ser proibido. Segurança da Informação Medidas de Segurança São as práticas, os procedimentos e os mecanismos usados para a proteção da informação e seus ativos, que podem impedir que ameaças explorem vulnerabilidades. São ações voltadas à eliminação de vulnerabilidades com vista a evitar a concretização de uma ameaça. Medidas de Segurança Podem ter as seguintes características: Preventivas, Detectáveis, Corretivas Segurança da Informação Medidas de Segurança Preventivas Medidas de segurança que tem o objetivo de evitar que incidentes venham a ocorrer. Visam manter a segurança já implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança na instituição. São: Políticas de Segurança; instruções e procedimentos de trabalho; campanhas e palestras de conscientização de usuários; ferramentas como firewall, antivírus, etc... Segurança da Informação Medidas de Segurança Detectáveis Medidas de segurança que visam identificar condições ou indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem vulnerabilidades. São: análise de riscos; sistemas de detecção de intrusão; alertas de segurança; câmeras de vigilância, alarmes, etc... Segurança da Informação Medidas de Segurança Corretivas Ações voltadas à correção de uma estrutura tecnológica e humana para que as mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadas à redução dos impactos; São: equipes para emergências, restauração de backup; plano de continuidade operacional; plano de recuperação de desastres; etc... A segurança é um fator crítico de sucesso A segurança se faz protegendo todos os elos da corrente, todos os ativos que compõem seu negócio. Se algum componente falhar, todo o processo estará prejudicado. Procedimentos de Segurança Características de um plano de segurança: ser fácil de entender ou não será posto em prática; ter sua finalidade explicada ou será ignorado; ser implementado com energia ou exceções serão criadas e virarão regras; possuir sanções para os violadores; cada colaborador deverá conhecer apenas os procedimentos de segurança que lhe dizem respeito; deve estar documentado formalmente e incluir diretivas claras. Formato dos procedimentos de segurança Formato dos procedimentos de segurança O procedimento de segurança deverá possuir as seguintes características: ser aprovado pelo mais alto nível da hierarquia da empresa. ser claro, ser conciso. ser elaborado por um responsável direto. ser dirigido para atingir o nível de segurança adequado aos bens que se quer proteger. causar o mínimo de alterações no funcionamento da organização.... não deve ser muito específico. ser possível executar. deve quantificar os recursos necessários para seu funcionamento. deve prever as ações concretas e quem as realiza. deve prever o que fazer em casos de falha na execução dos procedimentos (plano B). Fatores para o sucesso da política de segurança A política de segurança deverá ter o aval da pessoa mais graduada (CEO, Presidente, etc), a fim de evitar tentativas de coação / pressão dos administradores. Possuir cultura organizacional (consciência coletiva). A alta direção deve estar comprometida e dar amplo apoio aos seus implementadores. Deve ter bom entendimento dos requisitos de segurança, avaliação e gestão de riscos. A presença de um marketing interno eficaz para a segurança dentro da organização. Divulgação para todos os funcionários e contratados (Guia da Política de Segurança da Informação). Treinamento. Alocação de recursos pessoais e financeiros. Procurar embasamento jurídico, principalmente no tocante a ações / punições eventuais a serem aplicadas. E muita cooperação!!! Início de análise de risco Não se pode se proteger de algo que não se conheça. Com o conhecimento dos riscos é possível planejar as políticas e procedimentos que poderão ser implementados para a sua redução. Os três pilares da segurança Segurança Física. Segurança Técnica. Segurança Lógica. Riscos Probabilidade de que as ameaças explorem os pontos fracos. Causam perdas ou danos aos ativos e impactos no negócio. Acarreta perda de: confidencialidade, a integridade e a disponibilidade da informação Risco = Ameaça x Vulnerabilidade x Valor do patrimônio O que é a análise de risco? É o processo de avaliar o que é ou não aceitável para uma organização num determinado contexto. Só devemos aceitar um risco quando o custo do controle aplicado para mitigá-lo for maior do que o custo do próprio bem em risco. O nível de risco no qual uma organização aceita operar é denominado de risco aceitável Análise de Risco: o que se diz, o que se faz, e o que realmente é Os cinco pontos são: 1. Identificação e Classificação dos Processos de Negócio. 2. Identificação e Classificação dos Ativos 3. Análise de Ameaças e Danos 4. Análise de Vulnerabilidades 5. Análise de Risco Norma Utiliza-se como métrica as melhores práticas de segurança da informação do mercado, apontadas na norma ISO/IEC 17799. A partir destas informações faz-se possível a elaboração do perfil de risco que segue a fórmula: RISCO. = (Ameaça) x (Vulnerabilidade) x (Valor do Ativo) Análise de risco Como analisar o meu risco? Existem diversas formas de calcular o risco, tudo dependerá dos índices a serem utilizados. Fórmula: Risco = ((A x V x I)/M) R = Risco A = Total das Ameaças V = Total das Vulnerabilidades I = Total dos Impactos M = Medidas de Proteção Acrescentando-se a variável P, probabilidade de ocorrer o evento (vezes por ano), Ficaria então: ((A x V x I)/M)*P O conceito de análise de risco Intimamente relacionado à figura de Competitive Intelligence (Inteligência Competitiva). Agrega “solidez” à informação corporativa. Com a condição de controlar as ameaças, poderemos derivar dessa ferramenta o conceito de “administração de cenários. Aspectos na análise de risco Deve ser feita considerando vários aspectos como: ativos; ameaças; vulnerabilidades. Para cada cenário deverão ser previstos : os prejuízos; recursos envolvidos para evitar a concretização do risco no cenário; custos; benefícios. Técnicas de análise de risco 1. Análise subjetiva: Sessão de “brainstorming”. Documentos são elaborados com base em vários cenários. 2. Análise quantitativa: Mensurar os impactos financeiros gerados por uma situação de quebra de segurança, a partir da valoração dos próprios ativos. Para cada ameaça quantificar a sua incidência, estimar o valor dos prejuízos que pode causar e o custo de combater as ameaças. Análise qualitativa: Critérios para estimar os impactos sobre os negócios, provocados pela exploração de uma vulnerabilidade por uma ameaça. Tem base em critérios e classificações que podem atingir valores tangíveis e intangíveis. Demonstra eficiência superior, abrange o processo como um todo. Avaliar e Quantificar os Ativos Definir o valor das informações e dos serviços do ponto de vista dos terceiros envolvidos e do esforço necessário para recriar as informações. Basear-se no custo da perda ou roubo de informação ou na queda de um serviço para avaliar o custo do recurso, cujo valor deve refletir todos os custos que poderiam surgir se houvesse algum problema com esse recurso. Como avaliar e priorizar estes ativos, usando como base o SRMD (Security Risk Management Discipline) Prioridades do Ativo Prioridade 1: O servidor fornece funcionalidade básica, mas não tem impacto financeiro nos negócios. Prioridade 3: O servidor hospeda informações importantes, mas que podem ser recuperados rapidamente e com facilidade. Prioridade 5: O servidor possui dados importantes e que demorariam muito tempo para serem recuperados. Prioridade 8: O servidor possui informações para os objetivos de negócio da empresa. A perda dessas informações pode interromper projetos e o serviço diário de todos os usuários, o que causaria uma queda muito grande na produtividade da empresa. Prioridade 10: O servidor causa um grande impacto no negócio da empresa. A perda deste servidor ou a divulgação destas informações poderiam causar desvantagem competitiva da sua empresa. Exemplo Identificação dos ativos Ativos físicos: Equipamentos computacionais (processadores, monitores, laptops, modems). Equipamentos de comunicação (roteadores, PABX’s , fax, secretárias eletrônicas). Mídias magnéticas (fitas e discos). Outros equipamentos técnicos (no-breaks, ar-condicionado). Mobília e acomodações. Serviços: Computação e serviços de comunicação. Utilidades gerais Climatização. Iluminação. Eletricidade. Refrigeração. Aplicativos. Sistemas. Utilitários. Risco, Vulnerabilidade, Ameaça e Impacto Ameaças Agentes ou condições que causam incidentes que comprometem as informações e seus ativos pela exploração de vulnerabilidades. Provocam perdas de confidencialidade, integridade e disponibilidade. Causam impactos sobre os negócios de uma organização. São agentes capazes de explorar as falhas de segurança Sub-conceitos da Ameaça Intenção: tende a ser dependente de indústria. Roubo de dados, por exemplo. Não pode ser influenciado por ações de Segurança. Oportunidade: timing apropriado e conhecimento do alvo. Capacidade: é a habilidade financeira, humana e técnica de alcançar o objetivo de ataque e aproveitar a oportunidade. Risco: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização; Vulnerabilidade: falha ou fraqueza de procedimento, design, implementação, ou controles internos de um sistema que possa ser acidental ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema; Ameaça: possibilidade de um agente (ou fonte de ameaça) explorar acidentalmente ou propositalmente uma vulnerabilidade específica; Fonte de ameaça: ou (1) uma intenção e método objetivando a exploração de uma vulnerabilidade ou (2) uma situação e método que pode acidentalmente disparar uma vulnerabilidade; Identificar Ameaças de Segurança – Identificar os tipos de ataques é a base para chegar aos Riscos. Existem as prioridades que são os pontos que podem comprometer o “Negócio da Empresa”. O crucial para a sobrevivência da Empresa é crucial no seu projeto de Segurança. Conjunto de ameaças=> FVRDNE: 1. Falsificação Falsificação de Identidade é quando se usa nome de usuário e senha de outra pessoa para acessar recursos ou executar tarefas. 2. Violação A Violação ocorre quando os dados são alterados, sejam em transmissão ou em arquivos Conjunto de ameaças=> FVRDNE 3. Repudiação A Repudiação talvez seja uma das últimas etapas de um ataque bem sucedido. É o ato de negar algo que foi feito. Pode ser feito apagando as entradas do Log após um acesso indevido. Conjunto de ameaças=> FVRDNE 4. Divulgação A Divulgação das Informações pode ser tão grave e/ou custar tão caro quanto um ataque de “Negação de Serviço”. Informações que não podiam ser acessadas por terceiros, agora estão sendo divulgadas ou usadas para obter vantagem em negócios. Conjunto de ameaças=> FVRDNE 5. Negação de Serviço (DoS) O objetivo deste ataque é parar algum serviço. Como, por exemplo, “Inundar” uma rede com pacotes 6. Elevação de Privilégios Acontece quando o usuário mal-intencionado quer executar uma ação da qual não possui privilégios administrativos suficientes. Quem pode ser uma ameaça? 1. Principiante – não tem nenhuma experiência em programação e usa ferramentas de terceiros. Geralmente não tem noção do que está fazendo ou das conseqüências daquele ato. 2. Intermediário – tem algum conhecimento de programação e utiliza ferramentas usadas por terceiros. 3. Avançado – Programadores experientes, possuem conhecimento de Infra-Estrutura e Protocolos. Podem realizar ataques estruturados. Ameaças Roubo / Vazamento de Informações Alteração de informações Danos físicos Indisponibilidade Violação da integridade Acesso não autorizado Uso indevido Ameaças programadas (vírus, worms, trojans) Espionagem Ameaças 3 Grandes Grupos Naturais Intencionais Fenômenos da natureza Aquelas propositais e suas intempéries Incêndios, Enchentes, Terremotos, Maremotos, Aquecimento, Poluição, Etc... Causadas por agentes humanos: Hackers, Invasores, Espiões, Ladrões, Vírus, Etc... Involuntárias Ações inconscientes Causadas pelo desconhecimento. Acidentes, Erros, Falta de energia, Etc... Vulnerabilidade Fragilidade presente ou associada a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: Confidencialidade, Integridade e Disponibilidade. Por si só não provocam incidentes, são elementos passivos, necessitando para tanto de um agente causador ou condição favorável, que são as ameaças. São as falhas que são exploradas pelas ameaças. Exemplos de vulnerabilidade Físicas Instalações prediais fora do padrão; Salas de CPD mal planejadas; Falta de extintores; Risco de explosões; Vazamentos; Incêndios. Naturais Incêndios, Enchentes, Terremotos, Tempestades, Falta de energia, Acúmulo de poeira, Aumento de umidade e de temperatura. Vulnerabilidades Os ataques com mais chances de dar certo são aqueles que exploram vulnerabilidades. A execução apropriada de uma "classificação dos ativos" seguida de uma "análise de risco" em uma organização complexa é uma tarefa praticamente impossível, dada a quantidade de fatores desconhecidos na equação de risco. Ações Uma abordagem de tratamento ou análise de ameaças é mais efetiva quando executada apropriadamente pela de Segurança de Informações. Isso envolve várias ações: A detecção e a mitigação das vulnerabilidades presentes em sistemas críticos é o mínimo a ser feito. O histórico dos incidentes tratados (post-mortem...), as ações tomadas contra as fontes de ameaça identificadas e o entendimento e mitigação de seu modus operandi são fundamentais. Ações O envolvimento com outras áreas da empresa que lidam com Risco da Tecnologia ou da informação é primordial. O constante convencimento da importância em diminuir o esforço e foco nas vulnerabilidades (O COMO) e atacar de frente as ameaças (O QUEM), incluindo a penalização interna ou envolvimento do jurídico para ações externas. O envolvimento com outras áreas da empresa que lidam com Risco da Tecnologia ou da Informação. Ações A empresa somente é capaz de responder adequadamente quando se esforça em conhecer progressivamente todos os fatores desta equação: que vulnerabilidades possui, a que ameaças está suscetível, quais agentes estão envolvidos e qual são os impactos históricos e possíveis da exploração destas ameaças. Ações Para uma abordagem realista e eficiente dos desafios de segurança da informação para os negócios da empresa exige uma abordagem ampla com foco nas ameaças. Isso funciona melhor quando é institucionalizado um fórum inter-departamental com um grupo de trabalho técnico e outro executivo. Assim, é possível mover a Segurança da Informação da sua função tradicional e trazê-la para um campo estratégico de proteção dos interesses da empresa/órgão de seus adversários e ameaças reais Conhecendo os riscos, ameaças e vulnerabilidades poderemos tomar 4 atitudes Aceitar: só se justifica quando o custo de implementação é maior que o impacto negativo que o risco poderá trazer. Diminuir: colocar em práticas ações com o objetivo de reduzir o risco. Ignorar: Não dar nenhum tipo de importância e acreditar que nada irá acontecer. Transferir: transferir o risco para um terceiro, criando compensações, quase sempre menores, sobre as perdas. Impacto Conceito utilizado para medir os efeitos positivos ou negativos que uma determinada atividade pode causar. Por exemplo: impacto Perda financeira; Abalo na imagem; Multas ou sanções; Perda de investidores; Prejuízo operacional; Aumento no custo operacional; Parada no negócio da empresa; Perda de ativos; Alteração na quantidade de pessoas para a execução do processo; Redução da margem de lucro e etc.. Impacto = Gravidade x Urgência x Tendência Medidas de segurança PDCR. Podem ser estabelecidas em função do parâmetro de tempo e necessidade, podendo ser de 4 tipos Preventivas: ação de tentar evitar que o problema ocorra. Detectivas: ação de detectar um determinado problema. Corretivas: ação de corrigir algo que as outras duas ações não conseguiram evitar. Restauradoras: recuperar algo perdido.. Mapeamento de processos Identificar e mapear os processos internos é uma atitude que ajuda a empresa a se tornar mais competitiva otimizando o tempo e alcançando melhores resultados. Qualquer organização é composta por um conjunto de processos tanto de natureza técnica como social, que são as atividades de negócio típicas que a empresa desenvolve. Matriz de G.U.T (Gravidade, Urgência e Tendência) A prioridade das ações a serem executada pode ser encontrada utilizando a matriz de GUT. A definição da prioridade final é composta pela análise e pelo produto das 3 dimensões do GUT Impacto = Gravidade X Urgência x Tendência. Dimensões da Matriz de GUT 1. Dimensão gravidade Considera a severidade dos impactos relacionados ao processo do negócio analisado. 2. Dimensão urgência Considerar o tempo da duração dos impactos relacionados ao processo de negócio que está sendo analisado. 3. Dimensão tendência Considerar a oscilação dos impactos relacionados ao processo analisado. Matriz de GUT Os valores obtidos depois da análise são multiplicados gerando o impacto final, sendo que a faixa dos valores possíveis vai de 1 a 125. O objetivo da matriz de GUT é facilitar a identificação rápida dos processos e suas prioridades. Cores 1 a 42 VERDE 43 a 83 AMARELA 84 a 125 VERMELHA Dessa forma, poderá ser visto qual ativo ou processo tem maior impacto negativo em caso de incidente. Segurança da Informação Portanto: Segurança é uma prática voltada à eliminação de Vulnerabilidades. para reduzir os Riscos de uma Ameaça se concretizar no ambiente que se quer proteger. Objetivos da Segurança Conhecer os diferentes tipos de ativos na empresa para identificar tudo aquilo que a segurança da informação deve proteger Detectar possíveis vulnerabilidades relacionadas com esses ativos para o preparo de sua proteção Conhecer os princípios básicos da segurança da informação: confidencialidade, disponibilidade e integridade, com a finalidade de valorizar a importância desses conceitos ao lidar com a informação Definição de Segurança Um mecanismo de Segurança da Informação providencia meios para reduzir as vulnerabilidades existentes em um Sistema de Informação Segurança envolve tecnologia, processos e pessoas SEGURANÇA = CULTURA + TECNOLOGIA Processos+ Componentes humanos (variáveis imprevisíveis) impedem uma total automação da segurança Tecnologia Pessoas Processos PROBLEMAS TÉCNICOS (variáveis previsíveis) Como implementar uma Política de Segurança significa responder algumas questões: O que proteger? – – – – – – – – Contra que ou quem? Quais são as ameaças? Qual a importância de cada ativo? Como é a proteção de cada ativo/ Qual o grau de proteção desejado? Quanto se pretende gastar para atingir os objetivos da segurança? Quais as expectativas dos clientes em relação à segurança? Quais as conseqüências para a organização da exposição aos riscos? Mapeamento de processos Identificar e mapear os processos internos é uma atitude que ajuda a empresa a se tornar mais competitiva otimizando o tempo e alcançando melhores resultados. Trata-se de uma ferramenta simples, que pode ser adotada por organizações de qualquer porte ou área de atuação, com inúmeros ganhos principalmente na segurança da informação.(...) Mapeamento de processos (...) Qualquer organização é composta por um conjunto de processos tanto de natureza técnica como social. Estes processos são as atividades de negócio típicas que a empresa desenvolve para gerar valor, satisfazer as necessidades dos seus clientes e criar rendimento. Controle e Mitigação Criação de várias alternativas de mitigação Avaliação e seleção de alternativas Incorporar opções no Gerenciamento de Riscos e planejamento do projeto Estratégias para mitigação Soluções de mitigação Recusa Redução Divisão Transferência Seguro Aceitação com contingência Aceitação sem contingência CAPACIDADE DE MITIGAÇÃO Após a aplicação do controle, o risco residual está abaixo das expectativas da empresa. 3 b) Após a aplicação do controle, o risco residual está em linha com as expectativas da empresa. 2 c) Após a aplicação do controle, o risco residual está acima das expectativas da empresa. 1 TIPOS DE ATRIBUTOS DE CONTROLE a) A aplicação do controle está formalmente estabelecida através de normas e instruções escritas. 3 b) O controle permite testes periódicos. 2 c) O controle corresponde a padrões de boa prática referendados pelo mercado. 1 Ameaças Exploram Impedem Vulnerabilidades Medidas de Segurança Expondo Limitados RISCOS Ativos Impacto Causam Perdas Confidencialidade, Integridade, Disponibilidade